VPN más aptas para SME Server y por qué

SME Server (antes e-smith) es una distribución basada en Red Hat/CentOS con gestor de paquetes YUM, un entorno principalmente headless y gestión vía consola o su panel web integrado. El perfil de usuario habitual es el administrador de red o pymes que busca soluciones sencillas de mantener, con configuraciones almacenadas bajo el esquema de plantillas en /etc/e-smith y servicios gestionados con scripts /etc/init.d. El kernel suele ser una versión < 3.10 (RHEL 6/7), por lo que requiere que los módulos estén disponibles como RPM o bien que se recurran a métodos de compilación y DKMS para soluciones más modernas.

Partiendo de estas peculiaridades, las VPN más recomendables son:

• OpenVPN: Software maduro, disponible en los repositorios oficiales de SME Server. Su integración con init.d y generación de certificados mediante easyrsa es muy sencilla.
• SoftEther VPN: Soporta múltiples protocolos (OpenVPN, L2TP, SSTP…) y puede compilarse en SME Server. Ideal si necesitamos flexibilidad y bypass de firewalls estrictos.
• WireGuard: Rendimiento sobresaliente, pero exige un kernel ≥ 3.10 con backports o repositorios EPEL ELRepo/DKMS. Recomendable sólo si estáis dispuestos a añadir esos repos.

Comparativa de soluciones VPN

Instalación y configuración de las mejores VPN

1. OpenVPN

La opción más directa en SME Server. Aprovechamos el gestor de paquetes y el almacén de plantillas para generar un plugin ligero si se desea.

Pasos básicos:

1. Instalar paquetes necesarios.
2. Crear PKI con easyrsa.
3. Configurar el servidor y levantar el servicio.

Ejemplo de comandos:

# yum install -y openvpn easy-rsa
# mkdir -p /etc/openvpn/easy-rsa
# cp -r /usr/share/easy-rsa/3/ /etc/openvpn/easy-rsa/
# cd /etc/openvpn/easy-rsa
# ./easyrsa init-pki
# ./easyrsa build-ca nopass
# ./easyrsa gen-req server nopass
# ./easyrsa sign-req server server
# ./easyrsa gen-dh
# openvpn --genkey --secret ta.key

Crear /etc/openvpn/server.conf con contenido mínimo:

port 1194
proto udp
dev tun
ca easy-rsa/pki/ca.crt
cert easy-rsa/pki/issued/server.crt
key easy-rsa/pki/private/server.key
dh easy-rsa/pki/dh.pem
tls-auth ta.key 0
server 10.8.0.0 255.255.255.0
push route 192.168.1.0 255.255.255.0
keepalive 10 120
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

# chkconfig openvpn on
# service openvpn start

2. SoftEther VPN

Podemos compilar la última versión en SME Server y crear un script init.d personalizado.

Pasos de compilación:

# yum groupinstall -y Development Tools
# yum install -y readline-devel openssl-devel zlib-devel lzo-devel
# cd /usr/local/src
# wget https://github.com/SoftEtherVPN/SoftEtherVPN_Stable/archive/v4.41-9787-beta.tar.gz -O softether.tar.gz
# tar xzf softether.tar.gz
# cd SoftEtherVPN_Stable-
# ./configure
# make
# make install

Crear script de arranque /etc/init.d/vpnserver (resumido):

#!/bin/sh
# chkconfig: 345 85 15
# description: SoftEther VPN Server

DAEMON=/usr/local/vpnserver/vpnserver

start() {
  DAEMON start
}

stop() {
  DAEMON stop
}

case 1 in
  start) start 
  stop)  stop 
  restart) stop start 
  ) echo Usage: 0 {startstoprestart} 
esac
exit 0

Dar permisos y activar:

# chmod  x /etc/init.d/vpnserver
# chkconfig --add vpnserver
# service vpnserver start

Acceder al administrador:

• Cliente gráfico SoftEther VPN Server Manager (Windows/Linux).
• o ./vpncmd en /usr/local/vpnserver para CLI.

3. WireGuard (opcional)

Si el servidor tiene kernel > 3.10 o backports, puede instalarse desde EPEL/ELRepo:

# yum install -y epel-release elrepo-release
# yum install -y kmod-wireguard wireguard-tools

Generar claves y configuración en /etc/wireguard/wg0.conf, luego:

# wg-quick up wg0
# systemctl enable wg-quick@wg0

Con esto tendréis tres soluciones robustas adaptadas al entorno técnico de SME Server en Madrid o cualquier instalación empresarial pequeña, manteniendo la cercanía de un administrador que conoce cada rincón del sistema.